Fichier secret

[tiboel]

Peux-ton trouver sur un serveur un fichier sans en connaitre le nom par exemple un fichier présent à la racine de webmaster-hub dont le nom serait Ade544OPIE2341.txt ?

Si ce n'est pas possible alors cela fait office de mot de passe ?

donc je peux potentiellement stocker des mots de passes users dans un fichier de la sorte ?

Qu'en pensez-vous ?

L'histoire des mots de passe ne sert qu'à illustrer l'exemple, je ne range pas les mots de passes dans des fichiers

[Prélude]

Bonjour,

Il faut juste penser à changer le nom de temps en temps, un certain Google a tendance à mettre en mémoire cache un peu tout...

Autre chose : ne pas venir directement sur un site depuis ce fichier. Au niveau des stats, on peut voir le référent...

Modifié 24 Avril 2004 par Webmachin

[Dan]

Salut Tiboel,

Apache a tout de même quelques fonctionnalités bien plus élaborées pour stocker des mots de passe... et la difficulté de mise en oeuvre est la même.

Je ne vois pas pourquoi tu te priverais de cette sécurité et prendrais un risque.

Par contre, si tu tiens à cette solution et pour des programmes en php, il est possible de mettre des fichiers en dehors de l'arborescence d'Apache, donc invisibles pour tout surfeur.

Il faut pour cela que Php ne tourne pas en "safe mode", pour que les scripts php puissent accéder à des fichiers en dehors de l'espace web.

Dan

[Anonymus]

Les mots de passe sont stockés dans des fichiers, si ca peut te rassurer.

En fait, ce n'est pas tant le fichier qui est important que la méthode que tu adoptes pour protéger ce fichier. Il existe en effet plusieurs solutions et plusieurs méthodes pour protéger un fichier contenant, par exemple, des mots de passe.

Mais il faudrait savoir ce que tu comptes faire de ce fichier, et par exemple si tu as l'intention de l'appeler avec un autre fichier.

Anonymus.

[tiboel]

Pour en dire un peu plus sans en dire trop :

Imaginons que Le webmaster de ce site installe le fichier jkh55fsdq45.txt à la racine principale de ce site.

Je veux pouvoir y accéder de l'extérieur (sachant le nom du fichier) de manière à pouvoir le lire en accédant an fichier (par PHP par exemple) par l'url http://webmaster-hub.com/jkh55fsdq45.txt

Ce fichier ne contiendrait pas d'informations importantes par contre, je ne veux pas qu'un robot ou internaute sache que ce fichier existe, imaginons que le webmaster de ce site serait arrangé d'avoir ce fichier à la racine de son site mais qu'il pourrait être dommageable que Google ou un autre robot s'en apercoive.

Si j'appelle ce fichier data.txt, un robot n'aura qu'à tester l'existence du fichier pour savoir qu'il existe. Et ca je ne le souhaite pas.

[Anonymus]

D'accord.

Il te faut donc le mettre dans un répertoire spécial (autrement dit : créé pour l'occasion), et protéger ce répertoire des regards :

Tu trouveras ici : http://www.webmaster-hub.com/publication/article4.html des informations quant à la protection des fichiers, des répertoires, etc..

Le fichier robots.txt te permet d'interdire l'indexation d'un répertoire par un robot. Mais, il permet aux autres utilisateurs de savoir que ce répertoire existe.

La balise metatag robots permet de faire à peu près l'équivalent.

Enfin, tu peux protéger ton fichier en incluant directement dans le code de celui ci les directives de protection.

Anonymus.

[tiboel]

Je crois que l'on ne se comprends pas (je me suis mal exprimé).

Si tu mets un fichier dans la racine de ton site dont toi et moi seuls connaissont le nom complexe de ce fichier est-il possible pour d'autres de savoir que ce fichier existe ?

Ou

Indépendamment des protection des répertoire, m'est-il possible de lister ton répertoire racine ( par exemple de webmaster-hub) ?

[Anonymus]

Oui. Donc, deux protections vallent mieux qu'une

[Loupilo]

Juste comme ça, comment faire ?